[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE102006048169A1 - Method for monitoring the functionality of a controller - Google Patents

Method for monitoring the functionality of a controller Download PDF

Info

Publication number
DE102006048169A1
DE102006048169A1 DE102006048169A DE102006048169A DE102006048169A1 DE 102006048169 A1 DE102006048169 A1 DE 102006048169A1 DE 102006048169 A DE102006048169 A DE 102006048169A DE 102006048169 A DE102006048169 A DE 102006048169A DE 102006048169 A1 DE102006048169 A1 DE 102006048169A1
Authority
DE
Germany
Prior art keywords
monitoring program
execution units
execution
monitoring
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102006048169A
Other languages
German (de)
Inventor
Bernd Mueller
Volker Pitzal
Rainer Gmehlich
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102006048169A priority Critical patent/DE102006048169A1/en
Priority to PCT/EP2007/059904 priority patent/WO2008043650A1/en
Priority to EP07820348A priority patent/EP2079917B1/en
Priority to RU2009117704/07A priority patent/RU2453903C2/en
Priority to JP2009515899A priority patent/JP2009541636A/en
Priority to US12/308,184 priority patent/US8296043B2/en
Priority to CN2007800377608A priority patent/CN101523038B/en
Priority to KR1020097007279A priority patent/KR101326316B1/en
Publication of DE102006048169A1 publication Critical patent/DE102006048169A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/22Safety or indicating devices for abnormal conditions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D45/00Electrical control not provided for in groups F02D41/00 - F02D43/00
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

Die vorliegende Erfindung schafft ein Verfahren zur Überwachung der Funktionsfähigkeit einer Steuerung (4), die mehrere Ausführungseinheiten (2A, 2B) aufweist. Dabei wird ein Überwachungsprogramm, beispielsweise ein Momentenüberwachungsprogramm, in einem Vergleichs-Betriebsmodus (VM) auf mehreren Ausführungseinheiten (2) des Systems ausgeführt und es werden die bei der Ausführung des Überwachungsprogramms von den Ausführungseinheiten (2) abgegebenen Signale zur Erkennung eines Fehlers miteinander verglichen.The present invention provides a method for monitoring the operability of a controller (4) comprising a plurality of execution units (2A, 2B). In this case, a monitoring program, for example a torque monitoring program, is executed in a comparison operating mode (VM) on a plurality of execution units (2) of the system and the signals emitted during execution of the monitoring program by the execution units (2) are compared with one another to detect an error.

Description

Die Erfindung betrifft ein Verfahren zur Überwachung einer Funktionsfähigkeit einer Steuerung, die auf einem System mit mehreren Ausführungseinheiten läuft.The The invention relates to a method for monitoring a functionality a controller running on a system with multiple execution units running.

Im Bereich eingebetteter Systeme, insbesondere in der Automobiltechnik oder in der Automatisierungstechnik, gibt es viele Anwendungen bzw. Anwendungsprogramme, bei denen ein Fehler in der Hardware potenziell sicherheitsrelevante Konsequenzen hat. Um diese Konsequenz zu vermeiden oder deren Auswirkungen zu verringern, werden daher Überwachungsmaßnahmen zur Detektion derartiger Fehler eingesetzt. Es gibt Anwendungen, in denen eine solche Überwachung nahezu permanent notwendig ist. In anderen Anwendungen werden Überwachungsfunktionen eingesetzt, die regelmäßig, beispielsweise periodisch, oder auf eine bestimmte Anforderung hin überprüfen, ob das Datenverarbeitungssystem oder sonstige Hardware-Komponenten noch korrekt funktionieren.in the Embedded systems, especially in automotive engineering or in automation technology, there are many applications or application programs, where a hardware failure is potentially security relevant Has consequences. To avoid this consequence or its effects will therefore be subject to surveillance measures used to detect such errors. There are applications in which such monitoring almost permanently necessary. Other applications are monitoring features used that regularly, for example periodically, or on a specific request, check whether the data processing system or other hardware components still work correctly.

1 zeigt die Strukturierung eines herkömmlichen Überwachungsverfahrens im Motorsteuerungsbereich. Bei einer Motorsteuerung wird durch Einspritzsystem Kraftstoff in einen Verbrennungsraum eingespritzt. Aus Sicherheitssicht wird diese beispielhafte Anwendung im Motorsteuerungsbereich in drei Ebenen E1, E2, E3 strukturiert. Die Anwendungsprogramme der Einspritzsteuerung bilden eine Basis bzw. eine Grundebene E1, welche die eigentlich vorzunehmenden Funktionen beinhaltet. Die Einspritzsteuerung gibt an, wie viel Kraftstoff genau zu welchem Zeitpunkt in den Verbrennungsraum einzuspritzen ist. Bei einem Versagen der Einspritzsteuerung könnte der Fall auftreten, dass die Einspritzsteuerung zuviel bzw. ständig Kraftstoff in den Verbrennungsraum einspritzt, sodass das Kraftfahrzeug sehr stark beschleunigt und es zu einem Unfall kommen kann. Es wird daher bei einem herkömmlichen System eine Überwachungsebene E2 vorgesehen, die überwacht, ob die Einspritzsteuerung auf Ebene Ei fehlerfrei arbeitet. Die Überwachungsebene E2 wird durch zusätzliche Programme bzw. einen zusätzlichen Software-Code gebildet, der gegebenenfalls auf zusätzliche Sensoren zugreift. Bei einer herkömmlichen Motorsteuerung wird die Überwachungsebene E2 in der Regel durch eine kontinuierliche Momentenüberwachung gebildet, in der überwacht wird, ob das aktuell durch den Motor erzeugte Kraftmoment nicht einen bestimmten Schwellenwert überschreitet. Bei einer herkömmlichen Motorsteuerung laufen die Programme der Einspritzsteuerungsebene E1 und der Überwachungsebene E2 auf der gleichen Hardware bzw. auf den gleichen Ausführungseinheiten ab. Da die Anwendungsprogramme der Einspritzsteuerung in Ebene E1 und die Anwendungsprogramme der Kraftmomentenüberwachung in Ebene E2 auf der gleichen Ausführungseinheit bzw. CPU laufen, kann ein Hardwarefehler in der Ausführungseinheit dazu führen, dass sowohl die Einspritzsteuerung als auch die Kraftmomentenüberwachung gleichzeitig ausfallen. Es wird daher aus Sicherheitsgründen bei herkömmlichen Motorsteuerungen eine weitere Sicherheitsebene E3 vorgesehen, welche ihrerseits überprüft, ob die Überwachungsebene E2 einwandfrei funktioniert. Die Sicherheitsebene E3 führt eine Frage-Antwort-Kommunikation der Ausführungseinheit mit einer externen Hardware-Komponente, beispielsweise einem ASIC durch, wobei grundsätzlich die Funktionsfähigkeit der Ausführungseinheit bzw. des Mikro-Controllers, insbesondere das Funktionieren der Anwendungsprogramme innerhalb der Überwachungsebene E2 überprüft wird. Die Anwendungsprogramme der Überwachungsebene E2 führen eine Plausibilitätsprüfung durch. Beispielsweise lesen die Überwachungsprogramme der Überwachungsebene E2 eine Winkelstellung α des Gaspedals ein. Überschreitet die von den Anwendungsprogrammen der Einspritzsteuerungsebene E1 angegebene Menge von Kraftstoff einen bestimmten Schwellenwert, der von der sensorisch überwachten Gaspedaistellung abhängt, erkennt das auf Ebene E2 laufende Überwachungsprogramm, dass ein Fehler in der Einspritzsteuerung aufgetreten ist und veranlasst in der Regel das Abschalten des Motors aus Sicherheitsgründen. Die Überwachungsebene E2 enthält beispielsweise zusätzlich ein Momentenüberwachungsprogramm, welches das auf dem Motor erzeugte Kraftmoment überwacht und bei Überschreiten eines Schwellenwertes den Motor deaktiviert. Zur Implementierung der Überwachungsfunktion wird der Code der Überwachungsprogramme dupliziert als E2' abgelegt. Dabei wird der Algorithmus bzw. das Programm von E2' mit Default-Daten bzw. Testdaten durchgerechnet. Das Programm der Sicherheitsebene E3, das beispielsweise auf einem ASIC, d. h. auf einer anwenderspezifisch integrierten Schaltung abläuft, legt ein bestimmtes Bit-Muster als Frage an die Ausführungseinheit bzw. CPU an, welche das in Kopie vorliegende Überwachungsprogramm gemäß Ebene E2' mit diesem Default-Wert durchrechnet und ein Antwort-Bit-Muster an das Sicherheitsprogramm der Ebene E3 in der anwenderspezifischen integrierten Schaltung ASIC abgibt. Das Sicherheitsprogramm vergleicht das Antwort-Bit-Muster mit einem Referenz-Bit-Muster, um festzustellen, ob das Überwachungsprogramm innerhalb der CPU noch fehlerfrei funktioniert. Das Sicherheitsprogramm innerhalb der anwenderspezifisch integrierten Schaltung läuft auf einer anderen Hardware, nämlich dem ASIC, ab als das Überwachungsprogramm, welches auf einer Ausführungseinheit bzw. CPU abläuft. Daher bildet diese her kömmliche Vorgehensweise eine gewisse Sicherheit gegenüber Hardware-Fehlern innerhalb der CPU. 1 shows the structuring of a conventional monitoring method in the engine control area. In an engine control, injection system injects fuel into a combustion chamber. From a security point of view, this exemplary application is structured in the engine control area in three levels E1, E2, E3. The application programs of the injection control form a base or a ground plane E1, which contains the functions actually to be performed. The injection control indicates how much fuel is to be injected into the combustion chamber at exactly which point in time. In the event of a failure of the injection control, it could happen that the injection control injects too much fuel into the combustion chamber, so that the motor vehicle can accelerate very rapidly and an accident can occur. It is therefore provided in a conventional system, a monitoring level E2, which monitors whether the injection control operates on level Ei error-free. The monitoring level E2 is formed by additional programs or an additional software code, which optionally accesses additional sensors. In a conventional engine control, the monitoring level E2 is usually formed by a continuous torque monitoring in which it is monitored whether the moment of force currently generated by the engine does not exceed a certain threshold. In a conventional engine control, the programs of the injection control plane E1 and the monitoring plane E2 run on the same hardware or on the same execution units. Since the injection control application programs in level E1 and the torque monitoring application programs in level E2 run on the same execution unit or CPU, a hardware failure in the execution unit may cause both injection control and force torque monitoring to fail simultaneously. For safety reasons, a further safety level E3 is therefore provided in conventional motor control systems, which in turn checks whether the monitoring level E2 functions properly. The security level E3 carries out a question and answer communication of the execution unit with an external hardware component, for example an ASIC, wherein basically the functionality of the execution unit or the microcontroller, in particular the functioning of the application programs within the monitoring level E2 is checked. The application programs of the monitoring level E2 carry out a plausibility check. For example, the monitoring programs of the monitoring plane E2 read in an angular position α of the accelerator pedal. If the amount of fuel indicated by the application programs of the injection control plane E1 exceeds a certain threshold value which depends on the sensor-monitored accelerator position, the monitoring program running on plane E2 detects that an error has occurred in the injection control and usually causes the engine to be switched off security reasons. For example, the monitoring level E2 additionally contains a torque monitoring program which monitors the force torque generated on the engine and deactivates the engine when a threshold value is exceeded. To implement the monitoring function, the code of the monitoring programs is duplicated as E2 '. The algorithm or the program of E2 'is calculated with default data or test data. The program of the security level E3, which runs, for example, on an ASIC, ie on a user-specific integrated circuit, creates a specific bit pattern as a question to the execution unit or CPU, which the copying monitoring program according to level E2 'with this default Calculates the value and outputs a response bit pattern to the safety program of the level E3 in the user-specific integrated circuit ASIC. The safety program compares the response bit pattern with a reference bit pattern to determine if the monitor within the CPU is still functioning properly. The safety program within the user-specific integrated circuit runs on a different hardware, namely the ASIC, than the monitoring program, which runs on an execution unit or CPU. Therefore, this conventional approach provides some security against hardware errors within the CPU.

Ein Nachteil des herkömmlichen Sicherheitskonzepts, wie es in 1 dargestellt ist, besteht allerdings darin, dass die Überwachungsprogramme für den Befehlstest zum Durchrechnen mit Default- bzw. Testwerten in Kopie vorliegen müssen. Daher wird der Speicherplatz zum Ablegen der kopierten Programmbefehle auf der Überwachungsebene E2' benötigt.A disadvantage of conventional security concept, as it is in 1 However, there is the fact that the monitoring programs for the command test for calculation with default or test values must be in copy. Therefore, the memory space is required for storing the copied program instructions on the monitoring level E2 '.

Ein weiterer Nachteil des herkömmlichen Befehlstest, bei dem Default- bzw. Testdaten als Eingabedaten für die kopierten Überwachungsprogramme E2' dienen, besteht darin, dass Operanden-abhängige Fehler nicht detektiert werden.One Another disadvantage of the conventional Command test in which default or test data serve as input data for the copied monitoring programs E2 'exists in that operand-dependent Error can not be detected.

Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren zur Überwachung der Funktionsfähigkeit einer Steuerung zu schaffen, das auch Operanden-abhängige Fehler detektiert.It is therefore the object of the present invention, a method for monitoring the functionality to create a controller that also has operand-dependent errors detected.

Die Erfindung schafft ein Verfahren zur Überwachung der Funktionsfähigkeit einer Steuerung, die auf einem System mit mehreren Ausführungseinheiten läuft, wobei ein Überwachungsprogramm in einem Vergleichs-Betriebsmodus VM auf mehreren Ausführungseinheiten des Systems ausgeführt wird und wobei die bei der Ausführung des Überwachungsprogramms die von diesen Ausführungseinheiten abgegebenen Signale zur Erkennung eines Fehlers miteinander verglichen werden.The Invention provides a method of monitoring operability a controller running on a system with multiple execution units running, being a surveillance program in a comparison mode of operation VM on multiple execution units of the system is and where the execution of the monitoring program those of these execution units emitted signals to detect an error compared become.

Ein Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass kein Speicherplatz für kopierte Programmbefehle eines Überwachungsprogramms verschwendet wird.One Advantage of the method according to the invention is that there is no space for copied program commands a monitoring program is wasted.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das Überwachungsprogramm durch ein Momentenüberwachungsprogramm gebildet, das ein durch einen Motor erzeugtes Moment überwacht.at an embodiment the method according to the invention will be the monitoring program through a torque monitoring program formed monitoring a moment generated by a motor.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird die Steuerung durch eine Motorsteuerung gebildet.at an embodiment the method according to the invention the control is formed by a motor control.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das Überwachungsprogramm synchron auf den Ausführungseinheiten ausgeführt.at an embodiment the method according to the invention will be the monitoring program synchronously on the execution units executed.

Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens wird das Überwachungsprogramm asynchron auf den Ausführungseinheiten ausgeführt.at an alternative embodiment the method according to the invention will be the monitoring program asynchronous on the execution units executed.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das System nach erfolgter Ausführung des Überwachungsprogramms in einen Performanz-Betriebsmodus umgeschaltet, in dem die Ausführungseinheiten unterschiedliche Programme ausführen.at an embodiment the method according to the invention After completing the monitoring program, the system will enter a performance mode of operation switched over in which the execution units run different programs.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens führen die in dem Performanz-Betriebsmodus ausgeführten Programme die Steuerung durch.at an embodiment the method according to the invention to lead the programs running in the performance mode of operation control by.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das Überwachungsprogramm periodisch ausgeführt.at an embodiment the method according to the invention will be the monitoring program periodically executed.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird ein Fehler bei der Ausführung des Überwachungsprogramms erkannt, wenn die von den Ausführungseinheiten bei der Ausführung des Überwachungsprogramms abgegebenen Signale voneinander abweichen.at an embodiment the method according to the invention will be an error during execution of the monitoring program detected if that of the execution units in the execution of the monitoring program emitted signals differ from each other.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird nach Erkennung eines Fehlers bei der Ausführung des Überwachungsprogramms eine durch die Steuerung gesteuerte Einheit abgeschaltet.at an embodiment the method according to the invention turns on after detection of an error in the execution of the monitoring program the controller controlled unit is switched off.

Die Erfindung schafft ferner eine Steuerung mit mehreren Ausführungseinheiten, wobei ein Überwachungsprogramm in einem Vergleichs-Betriebsmodus VM auf mehreren Ausführungseinheiten ausgeführt wird und die bei der Ausführung des Überwachungsprogramms von den Ausführungseinheiten abgegebenen Signale zur Erkennung eines Fehlers miteinander verglichen werden.The The invention further provides a controller having a plurality of execution units, being a surveillance program in a comparison mode of operation VM on multiple execution units accomplished will and in the execution of the monitoring program delivered by the execution units Signals for detecting a fault are compared with each other.

Bei einer Ausführungsform der erfindungsgemäßen Steuerung ist das Überwachungsprogramm ein Momentenüberwachungsprogramm, das ein durch einen Motor erzeugtes Moment überwacht.at an embodiment the control according to the invention is the monitoring program a torque monitoring program, which monitors a moment generated by a motor.

Bei einer Ausführungsform der erfindungsgemäßen Steuerung ist die Steuerung eine Motorsteuerung.at an embodiment the control according to the invention the controller is a motor controller.

Bei einer Ausführungsform der erfindungsgemäßen Steuerung werden die Ausführungseinheiten durch einen Mikroprozessor, einen Co-Prozessor, einen digitalen Signal-Prozessor DSP, eine Gleitpunktberechnungseinheit FPU oder durch eine arithmetisch logische Einheit ALU gebildet.at an embodiment the control according to the invention become the execution units through a microprocessor, a co-processor, a digital one Signal processor DSP, a floating point calculation unit FPU or formed by an arithmetic logic unit ALU.

Im Weiteren werden bevorzugte Ausführungsformen des erfindungsgemäßen Verfahrens und der erfindungsgemäßen Steuerung unter Bezugnahme auf die beigefügten Figuren zur Erläuterung erfindungswesentlicher Merkmale beschrieben.in the Other preferred embodiments the process of the invention and the control according to the invention with reference to the attached Figures for explanation essential to the invention Features described.

Es zeigen:It demonstrate:

1: ein Diagramm zur Darstellung eines herkömmlichen Sicherheitskonzepts mit drei Ebenen; 1 : a diagram illustrating a conventional three level security concept;

2: ein Blockschaltbild einer bei dem erfindungsgemäßen Verfahren eingesetzten Umschalt- und Vergleichseinheit; 2 a block diagram of a switching and comparison unit used in the method according to the invention;

3: ein Blockdiagramm zur Darstellung einer möglichen Ausführungsform der erfindungsgemäßen Steuerung; 3 a block diagram illustrating a possible embodiment of the controller according to the invention;

4: ein Ablaufdiagramm zur Erläuterung des erfindungsgemäßen Verfahrens; 4 a flowchart for explaining the method according to the invention;

5: ein Zeitablaufdiagramm zur Erläuterung einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens. 5 : a timing diagram for explaining a possible embodiment of the method according to the invention.

Wie man aus 2 erkennen kann, ist eine Umschalt- und Vergleichsschaltung 1 eingangsseitig an N + 1 Ausführungseinheiten 2 angeschlossen und erhält logische Eingangssignale E0, E1, E2, E3 ... EN von den Ausführungseinheiten 2-i. Die Umschalt- und Vergleichseinheit 1 enthält eine Vergleichslogik 1A und eine Schaltlogik 1B.How to get out 2 can detect is a switching and comparison circuit 1 on the input side at N + 1 execution units 2 connected and receives logical input signals E 0, E 1, E 2, E 3 ... E N from the execution units 2-i. The switching and comparison unit 1 contains a comparison logic 1A and a switching logic 1B ,

Das in 2 dargestellte System kann in mindestens zwei Betriebmodi betrieben werden. In einem ersten Betriebsmodus zur Leistungssteigerung, der auch als Performanz-Betriebsmodus PM bezeichnet wird, verarbeiten die Ausführungseinheiten 1-i bzw. Cores parallel unterschiedliche Programme bzw. Tasks. Bei den Ausführungseinheiten 2-i kann es sich um beliebige Ausführungseinheiten 2-i zur Ausführung einer Berechnungsanweisung, beispielsweise um einen Prozessor, eine Gleitpunktberechnungseinheit FPU, einen digitalen Signalprozessor DSP, einen Co-Prozessor oder um eine arithmetisch logische Berechnungseinheit ALU handeln. Die Abarbeitung der Programme durch die verschiedenen Ausführungseinheiten 2-i im Performanz-Modus PM kann synchron oder asynchron durchgeführt werden. Im Leistungsmodus erfolgt keine redundante Bearbeitung, sondern die Ausführungseinheiten 2-i führen verschiedene Berechnung bzw. Programme parallel durch. Im reinen Performanz-Betriebsmodus PM werden alle Eingangssignale Ei auf entsprechende Ausgangssignale Ai geschaltet bzw. geleitet.This in 2 shown system can be operated in at least two modes of operation. In a first operating mode for increasing performance, which is also referred to as a performance operating mode PM, the execution units 1-i or cores process different programs or tasks in parallel. The execution units 2-i can be any execution units 2-i for executing a calculation instruction, for example a processor, a floating point calculation unit FPU, a digital signal processor DSP, a co-processor or an arithmetic logic calculation unit ALU. The execution of the programs by the various execution units 2-i in the performance mode PM can be carried out synchronously or asynchronously. In the power mode, no redundant processing takes place, but the execution units 2-i carry out different calculations or programs in parallel. In pure performance mode PM, all input signals E i are switched to respective output signals A i and passed.

Neben dem Einsatz eines superskalaren Berechnungssystems besteht der zweite Grund für eine Multi-Core-Architektur darin, die Sicherheit der Signalverarbeitung zu steigern, indem mehrere Ausführungseinheiten 2-i redundant das gleiche Programm abarbeiten. In diesem zweiten Betriebsmodus, der auch als Sicherheitsmodus bzw. Safety Mode oder Vergleichs-Betriebsmodus VM bezeichnet wird, werden die Ergebnisse bzw. logischen Ausgangssignale der Ausführungseinheiten durch die Umschalt- und Vergleichsschaltung 1 miteinander verglichen, sodass ein aufgetretener Fehler bzw. eine Signalabweichung durch einen Vergleich auf Übereinstimmung erkannt werden kann. Im reinen Vergleichs-Betriebsmodus VM werden daher alle Eingangssignale Ei auf nur genau ein einziges Ausgangssignal Ai geleitet bzw. abgebildet. Mischformen sind möglich. In der konfigurierbaren Schaltlogik 1B wird angegeben, wie viele Ausgangsanschlüsse bzw. Ausgangssignale Ai vorgesehen sind. Weiterhin wird in der Schaltlogik 1B abgelegt, welche Eingangssignale Ei zu welchem der Ausgangssignale Ai beitragen. In der Schaltlogik 1B ist somit eine Abbildungsfunktion abgelegt, die Eingangssignale Ei verschiedenen Ausgangssignalen Ai zuordnen.Besides the use of a superscalar computation system, the second reason for a multi-core architecture is to increase the security of signal processing by redundantly executing the same program by multiple execution units 2-i. In this second operating mode, which is also referred to as safety mode or comparison mode VM, the results or logic output signals of the execution units are converted by the switching and comparison circuit 1 compared with each other, so that an error occurred or a signal deviation can be detected by a match for agreement. Therefore, in the pure comparison operating mode VM all input signals E i will be directed to only just a single output signal A i and ready. Mixed forms are possible. In the configurable switching logic 1B is indicated how many output terminals or output signals A i are provided. Furthermore, in the switching logic 1B stored, which input signals E i contribute to which of the output signals A i . In the switching logic 1B Thus, a mapping function is stored, the input signals E i different output signals A i assign.

Die Verarbeitungslogik 1A legt bei jedem Ausgangssignal Ai fest, in welcher Form die Eingangssignale zu dem jeweiligen Ausgangssignal beitragen. Beispielsweise wird das Ausgangssignal A0 durch die Eingangssignale E1, ..., EN erzeugt. Für m = 1 entspricht dies einfach einer Durchschaltung eines Eingangssignals. Für M = 2 werden zwei Eingangssignale E1, E2 miteinander verglichen. Dieser Vergleich kann synchron oder asynchron durch die Schaltung 1 durchgeführt werden. Dabei kann der Vergleich bitweise erfolgen oder alternativ werden nur signifikante Bits miteinander verglichen. Bei M ≥ 3 bestehen verschiedene Möglichkeiten. Eine erste Möglichkeit besteht darin, dass alle Signale miteinander verglichen werden und bei Vorhandensein mindestens zweier verschiedener Werte ein Fehler detektiert wird, der optional durch die Umschalt- und Vergleichsschaltung 1 signalisiert wird. Eine weitere Möglichkeit besteht darin, dass eine K aus m-Auswahl vorgenommen wird, wobei K > M/2 ist. Dies wird bei einer Ausführungsform durch das Vorsehen von Vergleichern bzw. Komparatoren realisiert. Dabei wird optional ein erstes Fehlersignal generiert, wenn eines der Eingangssignale als abweichend von den anderen Eingangssignalen erkannt wird. Bei einem von dem ersten Fehlersignal verschiedenen zweiten Fehlersignal können alle drei Eingangssignale voneinander abweichen. Bei einer weiteren Ausführungsform werden die Eingangssignalwerte einer weiteren Berechnungseinheit zugeführt, die beispielsweise einen Mittelwert oder einen Medianwert berechnet bzw. einen fehlertoleranten Algorithmus FTA durchführt. Bei einem fehlertoleranten Algorithmus werden die Extremwerte der Eingangssignalwerte gestrichen bzw. ignoriert und eine Mittlung über die restlichen Signalwerte vorgenommen. Bei einer Ausführungsform erfolgt die Mittlung über die gesamte Menge der restlichen Signalwerte. Bei einer alternativen Ausführungsform erfolgt eine Mittelung über eine in der Hardware leicht zu bildende Teilmenge der verbleibenden Signalwerte. Während bei der Mittelwertbildung lediglich eine Addition und eine Division vorgenommen werden müssen, erfordern FTM, FTA oder die Medianwertbildung teilweise eine Sortierung der Eingangssignalwerte. Bei einer Ausführungsform wird bei hinreichend großen Signalabweichungen bzw. Extremwerten optional ein Fehlersignal ausgegeben bzw. angezeigt. Die verschiedenen genannten Möglichkeiten zur Signalverarbeitung zu einem Signal stellen Vergleichsoperationen dar. Die Verarbeitungslogik 1A legt die genaue Gestaltung der vorzunehmenden Vergleichsoperation für jedes Ausgangssignal Ai und somit auch für die Eingangssignale Ei fest. Die Kombination der Informationen innerhalb der Schaltlogik 1B, d. h. die Zuordnungsfunktion der in der Verarbeitungslogik 1A angegebenen Vergleichsoperation pro Ausgangssignal bzw. pro Funktionswert stellt eine Betriebsmodusinformation dar und legt den Betriebsmodus fest. Diese Information ist in der Regel mehrwertig und wird durch mehr als ein logisches Bit dargestellt. Für den Fall, dass nur zwei Ausführungseinheiten 2-i vorgesehen ist und somit nur ein Vergleichsmodus existiert, kann die gesamte Information in dem Betriebsmodus auf ein einziges logisches Bit kompensiert werden.The processing logic 1A sets in each output signal A i , in which form the input signals contribute to the respective output signal. For example, the output signal A 0 is generated by the input signals E 1 ,..., E N. For m = 1, this simply corresponds to switching through an input signal. For M = 2, two input signals E 1 , E 2 are compared with each other. This comparison can be synchronous or asynchronous by the circuit 1 be performed. The comparison can be done bit by bit or alternatively only significant bits are compared. With M ≥ 3 different possibilities exist. A first possibility is that all signals are compared with each other and if at least two different values are present an error is detected, optionally by the switching and comparison circuit 1 is signaled. Another possibility is to make a K m selection, where K> M / 2. This is realized in one embodiment by the provision of comparators. Optionally, a first error signal is generated when one of the input signals is detected as being different from the other input signals. In a second error signal different from the first error signal, all three input signals may differ from one another. In a further embodiment, the input signal values are fed to a further calculation unit which, for example, calculates an average value or a median value or performs a fault-tolerant algorithm FTA. In a fault tolerant algorithm, the extreme values of the input signal values are canceled or ignored and averaging over the remaining signal values. In one embodiment, averaging occurs over the entire set of the remaining signal values. In an alternative embodiment, an averaging is carried out via a subset of the remaining signal values that is easy to form in the hardware. While only one addition and one division need to be made in averaging, FTM, FTA, or median generation require partial sorting of the input signal values. In one embodiment, if the signal deviations or extreme values are sufficiently large, an error signal is optionally output or displayed. The different These possibilities for signal processing to a signal represent comparison operations. The processing logic 1A specifies the exact design of the comparison operation to be carried out for each output signal A i and thus also for the input signals E i . The combination of the information within the switching logic 1B ie the assignment function of the processing logic 1A specified comparison operation per output signal or per function value represents an operating mode information and sets the operating mode. This information is usually multivalued and represented by more than one logical bit. In the event that only two execution units 2-i are provided, and thus only one comparison mode exists, all the information in the operating mode can be compensated for a single logical bit.

Eine Umschaltung des Systems von dem Performanz-Betriebsmodus PM in einen Vergleichs-Betriebsmodus VM erfolgt im Allgemeinen dadurch, dass die Ausführungseinheiten 2-i, die in dem Performanz-Betriebsmodus PM auf verschiedene Signalausgänge abgebildet bzw. durchgeschaltet sind, in dem Vergleichsbetriebsmodus VM auf den gleichen Signalausgang abgebildet bzw. durchgeschaltet werden. Vorzugsweise wird dies dadurch realisiert, dass eine Teilmenge von Ausführungseinheiten 2-i vorgesehen werden, bei denen im Performanz-Betriebsmodus PM alle Eingangssignale Ei, die in der Teilmenge zu berücksichtigen sind, direkt auf korrespondierende Ausgangssignale Ai geschaltet werden, während die Eingangssignale in dem Vergleichsmodus VM alle auf einen einzigen Signalausgang abgebildet bzw. an diesen durchgeschaltet werden. Alternativ kann eine Umschaltung dadurch realisiert werden, dass Paarungen geändert werden.A changeover of the system from the performance mode of operation PM into a comparison mode of operation VM is generally carried out in that the execution units 2-i, which are displayed in the performance mode PM on different signal outputs, in the comparison mode VM on the same signal output can be shown or switched through. This is preferably achieved by providing a subset of execution units 2-i in which all input signals E i to be considered in the subset are switched directly to corresponding output signals A i in the performance mode PM, while the input signals in the comparison mode VM all mapped to a single signal output or switched to this. Alternatively, a switch can be realized by changing pairings.

Zwischen den verschiedenen Betriebsmodi kann, über die Software gesteuert, dynamisch im laufenden Betrieb umgeschaltet werden. Ausgelöst wird die Umschaltung bei einer Ausführungsform über die Ausführung von speziellen Umschaltbefehlen bzw. Umschaltinstruktionen, speziellen Instruktionssequenzen, explizit gekennzeichneten Instruktionen oder durch den Zugriff auf bestimmte Adressen durch mindestens eine der Ausführungseinheiten 2-i des Systems.Between the different operating modes, controlled by the software, be switched dynamically during operation. Is triggered the Switching in one embodiment over the execution of special switching commands or switching instructions, special Instruction sequences, explicitly marked instructions or by accessing certain addresses through at least one of execution units 2-i of the system.

Die Umschaltung zwischen dem Sicherheitsmodus VM, in dem eine redundante Abarbeitung und Prüfung erfolgt und den Leistungs- bzw. Performanz-Betriebsmodus PM, bei dem eine Leistungssteigerung durch separate Programmabarbeitung erreicht wird, erfolgt durch die Umschalteinrichtung 1. Bei einer Ausführungsform erfolgen zur Umschaltung eine Kennzeichnung der Programme, Anwendungsprogramme, Programmteile oder auch der Programmbefehle durch eine Kennung, durch welche erkennbar ist, ob diese Programmbefehle sicherheitsrelevant sind, d. h. in dem Sicherheitsbetriebsmodus bzw. Vergleichs-Betriebsmodus VM abgearbeitet werden müssen, oder dem Leistungs- bzw. Performanz-Betriebsmodus PM zugänglich gemacht werden können. Die Kennzeichnung kann durch ein Bit in dem Programmbefehl erfolgen. Alternativ kann durch einen speziellen Programmbefehl die darauf folgende Sequenz gekennzeichnet werden.Switching between the safety mode VM, in which redundant processing and testing takes place and the performance or performance mode PM, in which an increase in performance is achieved by separate program execution, is performed by the switching device 1 , In one embodiment, an identification of the programs, application programs, program parts or even the program instructions by an identifier, which can be seen by these, whether these program commands are security-relevant, ie in the security mode or comparative mode VM must be executed, or the performance - or performance mode PM can be made accessible. The identification can be done by a bit in the program instruction. Alternatively, the following sequence can be identified by a special program command.

Im Sicherheitsbetriebsmodus bzw. Safety Mode VM dauert die Berechnung der Ergebnisse bzw. Ausgangssignale der Ausführungseinheiten 2-i bei synchroner Abarbeitung auf den verschiedenen Ausführungseinheiten 2-i gleich lang. Die Ergebnisse stehen dann im Sicherheitsbetriebsmodus VM bei synchroner Abarbeitung der Umschalteinrichtung 1 gleichzeitig zur Verfügung. Stimmen die Ergebnisse überein, so werden die entsprechenden Daten freigegeben. Bei einer Signalabweichung erfolgt eine vorgegebene Fehlerreaktion.In the safety mode or safety mode VM, the calculation of the results or output signals of the execution units 2-i takes the same amount for synchronous execution on the different execution units 2-i. The results are then in safety mode VM with synchronous processing of the switching device 1 available at the same time. If the results match, the corresponding data will be released. If there is a signal deviation, a predetermined error reaction occurs.

Befindet sich das System im Performanz-Betriebsmodus PM, werden die Programme parallel abgearbeitet und Komparatoren bzw. Vergleiche innerhalb der Umschalt- und Vergleichsschaltung 1 werden nicht angesteuert.If the system is in the performance operating mode PM, the programs are processed in parallel and comparators or comparisons within the switching and comparison circuit 1 are not driven.

Bei dem erfindungsgemäßen Verfahren zur Überwachung der Funktionsfähigkeit einer Steuerung, die auf einem System mit mehreren Ausführungseinheiten 2 läuft, wird mindestens ein Überwachungsprogramm in einem Vergleichs-Betriebsmodus VM auf mehreren oder sogar auf allen Ausführungseinheiten des Systems ausgeführt. Die bei der Ausführung des Überwachungsprogramms von diesen Ausführungseinheiten 2 abgegebenen Signale werden zur Erkennung eines Fehlers miteinander verglichen. Bei einer bevorzugten Ausführungsform der erfindungsgemäßen Steuerung weist diese mindestens drei Ausführungseinheiten 2 auf. Dasjenige Signal, das von den übrigen Signalen die größte Signalabweichung aufweist, wird beispielsweise anhand einer Mehrheitsentscheidung als fehlerhaft erkannt. Bei den Signalen handelt es sich bei einer Ausführungsform um digitale logische Signale, insbesondere um binäre Signale. Bei der erfindungsgemäßen Steuerung 4 handelt es sich bei einer bevor zugten Ausführungsform um eine Motorsteuerung zur Steuerung eines Verbrennungsmotors. Bei alternativen Ausführungsformen handelt es sich bei der Steuerung 4 um eine Steuerung zur Ansteuerung eines Elektromotors. Das Überwachungsprogramm wird beispielsweise durch ein Momentenüberwachungsprogramm gebildet, welches ein durch den Verbrennungs- oder Elektromotor erzeugtes Kraftmoment überwacht. Dabei kann das Überwachungsprogramm synchron oder asynchron auf den Ausführungseinheiten 2 ausgeführt werden.In the inventive method for monitoring the functionality of a controller, which is based on a system with multiple execution units 2 is running, at least one monitoring program is executed in a comparison operating mode VM on several or even on all execution units of the system. The during execution of the supervisor program from these execution units 2 output signals are compared to detect an error. In a preferred embodiment of the control according to the invention, this has at least three execution units 2 on. The signal which has the largest signal deviation of the remaining signals is recognized as being defective, for example, by means of a majority decision. The signals in one embodiment are digital logic signals, in particular binary signals. In the control according to the invention 4 is in a before ferred embodiment to a motor controller for controlling an internal combustion engine. In alternative embodiments, the controller is 4 to a controller for controlling an electric motor. The monitoring program is formed, for example, by a torque monitoring program which monitors a moment of force generated by the combustion or electric motor. The monitoring program can synchronously or asynchronously on the execution units 2 be executed.

Bei dem erfindungsgemäßen Verfahren werden die normalen Anwendungsprogramme zur Motorsteuerung in dem Performanz-Betriebsmodus PM ausgeführt, d. h. jede Ausführungseinheit 2 des Systems führt zur Leistungssteigerung ein Programm zur Steuerung durch, während die anderen Ausführungseinheiten 2 ihrerseits ein davon unterschiedliches Anwendungsprogramm ausführen. Das auf Ebene E2 laufende Überwachungsprogramm wird bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens periodisch aufgerufen. Bei dem erfindungsgemäßen Verfahren wird das Überwachungsprogramm in einem Vergleichs-Betriebsmodus VM auf mehreren Ausführungseinheiten 2 des Systems ausgeführt. Im Vergleichs-Betriebsmodus VM führen mehrere bzw. alle Ausführungseinheiten 2 des Systems das gleiche Überwachungsprogramm aus, wobei die dabei erzeugten Ausgangssignale zur Erkennung eines Fehlers miteinander verglichen werden. Bei einer möglichen Ausführungsform werden mehrere Überwachungsprogramme auf der Ebene E2 ausgeführt, die beispielsweise alle periodisch aufgerufen werden. Alle aufgerufenen Überwachungsprogramme werden im Vergleichs-Betriebsmodus VM ausgeführt. Bei einer alternativen Ausführungsform werden die Überwachungsprogramme auf eine bestimmte Anforderung bzw. einen Anforderungsbefehl hin aufgerufen und anschließend im Vergleichs-Betriebsmodus VM von mehreren bzw. mindestens zwei Ausführungseinheiten 2 des Systems ausgeführt. Ein derartiger Anforderungsbefehl zur Ausführung des Überwachungsprogramms kann beispielsweise durch einen Interrupt ausgelöst werden.In the inventive method who the normal application programs for motor control in the performance mode of operation PM executed, ie each execution unit 2 In the system, one program performs control for performance enhancement while the other execution units 2 in turn, execute a different application program. The monitoring program running on level E2 is called periodically in one possible embodiment of the method according to the invention. In the method according to the invention, the monitoring program is in a comparison operating mode VM on several execution units 2 of the system. In the comparison operating mode VM, several or all execution units lead 2 of the system from the same monitoring program, the resulting output signals are compared to detect a fault with each other. In one possible embodiment, a plurality of monitoring programs are executed at the level E2, which are all called periodically, for example. All called monitoring programs are executed in the comparison operating mode VM. In an alternative embodiment, the monitoring programs are called upon a particular request or request command, and subsequently in the compare mode VM of multiple or at least two execution units 2 of the system. Such a request command for executing the monitoring program can be triggered, for example, by an interrupt.

Nach erfolgter Ausführung des Überwachungsprogramms wird das System zurück in einen Performanz-Betriebsmodus PM umgeschaltet, in dem die Ausführungseinheiten 2 vorzugsweise unterschiedliche Programme der ersten Ebene E1, beispielsweise Steuerungsprogramme, ausführen.After the execution of the monitoring program, the system is switched back to a performance mode PM, in which the execution units 2 preferably different first-level programs E1, such as control programs run.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird ein Fehler bei der Ausführung des Überwachungsprogramms in der Ebene E2 erkannt, wenn die von den Ausführungseinheiten 2 bei der Ausführung des Überwachungsprogramms im Vergleichs-Betriebsmodus VM abgegebenen Signale voneinander abweichen. Dabei wird vorzugsweise nach Erkennen eines Fehlers bei der Ausführung des Überwachungsprogramms eine durch die Steuerung 4 gesteuerte Einheit 5, beispielsweise ein Motor, abgeschaltet.In one embodiment of the method according to the invention, an error in the execution of the monitoring program in the plane E2 is detected, if that of the execution units 2 in the execution of the monitoring program in the comparison mode VM operating signals differ. In this case, preferably after detection of an error in the execution of the monitoring program by the controller 4 controlled unit 5 , For example, a motor, switched off.

3 zeigt ein Blockschaltbild einer möglichen Ausführungsform des erfindungsgemäßen Steuerungssystems. Bei der in 3 dargestellten Ausführungsform weist die erfindungsgemäße Steuerung 4 zwei Ausführungseinheiten 2A, 2B auf. Bei den Ausführungseinheiten 2A, 2B kann es sich um vollständige Mikroprozessoren bzw. CPU, um Co-Prozessoren, digitale Signalprozessoren DSP, Gleitpunktberechnungseinheiten FPU oder um eine arithmetisch logische Einheit ALU handeln. Bei weiteren Ausführungsformen der erfindungsgemäßen Steuerung 4 sind mehr als zwei Ausführungseinheiten 2 vorgesehen. Bei der in 3 dargestellten einfachen Ausführungsform werden die von den Ausführungseinheiten 2A, 2B erzeugten Signale jeweils in einem Zwischenspeicher 3A, 3B zwischengespeichert. Jede Ausführungseinheit 2 weist vorzugsweise ausgangsseitig einen eignen Zwischenspeicher 3 auf. Die zwischengespeicherten Ergebnisse bzw. Ausgangssignale der Ausführungseinheiten 2A, 2B werden einer Vergleichseinheit 1 zugeführt. Die Vergleichseinheit 4 kann beispielsweise durch die Umschalt- und Vergleichsschaltung 1, wie sie in 2 dargestellt ist, gebildet werden. Der Vergleich der zwischengespeicherten Ausgangssignale können durch Ablauf eines entsprechenden Vergleichsprogramms und -Software oder fest verdrahtet in Hardware durchgeführt werden. 3 shows a block diagram of a possible embodiment of the control system according to the invention. At the in 3 illustrated embodiment, the control according to the invention 4 two execution units 2A . 2 B on. In the execution units 2A . 2 B they can be complete microprocessors or CPUs, co-processors, digital signal processors DSP, floating-point calculation units FPU or an arithmetic logic unit ALU. In further embodiments of the controller according to the invention 4 are more than two execution units 2 intended. At the in 3 The simple embodiment shown is that of the execution units 2A . 2 B generated signals each in a buffer 3A . 3B cached. Each execution unit 2 preferably has its own output buffer on the output side 3 on. The cached results or output signals of the execution units 2A . 2 B become a comparison unit 1 fed. The comparison unit 4 For example, by the switching and comparison circuit 1 as they are in 2 is shown formed. The comparison of the cached output signals can be performed by running a corresponding comparison program and software or hardwired in hardware.

4 zeigt ein Ablaufdiagramm einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens zur Überwachung der Funktionsfähigkeit einer Steuerung. 4 shows a flowchart of a possible embodiment of the method according to the invention for monitoring the functionality of a controller.

Nach Aufruf des Überwachungsprogramms in der zweiten Ebene E2 erfolgt im Schritt S1 eine Umschaltung des Systems von dem Performanz-Betriebsmodus PM in den Vergleichs-Betriebsmodus VM. Anschließend werden die beiden Ausführungseinheiten 2A, 2B, wie sie in 3 dargestellt sind, zur Ausführung des gleichen Überwachungsprogramms in den Schritten S2, S3 aktiviert und führen das gleiche Überwachungsprogramm, beispielsweise ein Kraftmomentenüberwachungsprogramm, aus. Bei der in 4 dargestellten Ausführungsform berechnen die beiden Ausführungseinheiten 2A, 2B asynchron in den Schritten S2, S3 ein entsprechendes Ergebnissignal, welches in den Schritten S4, S5 in den jeweiligen Zwischenspeichern 3A, 3B zwischengespeichert wird. Bei einer alternativen Ausführungsform berechnen die beiden Ausführungseinheiten 2A, 2B in den Schritten S2, S3 das jeweilige Ausgangssignal bzw. den Ergebniswert synchron zueinander. Nach Vorliegen der beiden Ergebniswerte bzw. Ausgangssignale wird im Schritt S6 vorzugsweise durch die Umschalt- und Vergleichsschaltung 1 ein Vergleich zwischen beiden Ausgangssignalen durchgeführt. Weichen die beiden Signale voneinander ab, wird ein Fehler erkannt und es erfolgt anschlie ßend eine entsprechende Fehlerbehandlung. Bei einer sicherheitsrelevanten Anwendung wird eine durch die Steuerung 4 angesteuerte Einheit 5, beispielsweise ein Motor, abgeschaltet. Der Vergleich in Schritt S6 kann entweder durch eine entsprechende Vergleichsoperation per Software nach anschließendem Auslesen des Zwischenspeichers 3A, 3B durchgeführt werden oder bei einer alternativen Ausführungsform erfolgt der Vergleich durch eine fest verdrahtete Schaltung.After the monitoring program has been called up in the second level E2, in step S1 the system is switched over from the performance operating mode PM to the comparison operating mode VM. Subsequently, the two execution units 2A . 2 B as they are in 3 are activated to execute the same monitoring program in steps S2, S3 and execute the same monitoring program, for example a force torque monitoring program. At the in 4 The embodiment shown calculate the two execution units 2A . 2 B asynchronously in steps S2, S3 a corresponding result signal, which in steps S4, S5 in the respective latches 3A . 3B is cached. In an alternative embodiment, the two execution units calculate 2A . 2 B in steps S2, S3 the respective output signal or the result value are synchronous with one another. After the two result values or output signals are present, the switching and comparison circuit is preferably used in step S6 1 a comparison is made between the two output signals. If the two signals deviate from one another, an error is detected and then a corresponding error treatment ensues. In a safety-related application, one by the controller 4 controlled unit 5 , For example, a motor, switched off. The comparison in step S6 can be made either by a corresponding comparison operation by software after subsequent readout of the buffer 3A . 3B be performed or in an alternative embodiment, the comparison is made by a fixed ver wired circuit.

5 zeigt ein Zeitablaufdiagramm zur Erläuterung einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens. Bei dieser Ausführungsform wird das Überwachungsprogramm in Ebene E2 periodisch aufgerufen und im Vergleichs-Betriebsmodus VM durch mehrere Ausführungseinheiten 2 gleichzeitig ausgeführt. Nach Ausführung des Überwachungsprogramms kehrt das System in dem Performanz-Betriebsmodus PM zurück und führt in der Ebene E1 die eigentlichen Steuerungsprogramme durch. 5 shows a timing diagram for explaining a possible embodiment of the method according to the invention. In this embodiment, the monitor program is called periodically in level E2 and in the compare mode VM by multiple execution units 2 executed simultaneously. After execution of the monitoring program, the system returns in the performance mode PM and performs the actual control programs in the level E1.

Bei einer alternativen Ausführungsform der erfindungsgemäßen Steuerung 4 arbeitet die Steuerung 4 stets im Performanz-Betriebsmodus PM, wobei Überwachungsprogramme mit mindestens zwei Ausführungseinheiten 2 asynchron berechnet werden. Die von den Ausführungseinheiten dabei ausgegebenen Ergebnisse bzw. Ausgangssignale werden dabei zur Fehlererkennung miteinander verglichen. Bei dieser Ausführungsform müssen allerdings die Ergebnisse jeweils zwischengespeichert werden und die Ergebnisse werden anschließend zweimal miteinander verglichen, nämlich einmal auf der ersten Ausführungseinheit 2A und auf der zweiten Ausführungseinheit 2B, um etwaige Hardware-Fehler der beiden Ausführungseinheiten 2 zu berücksichtigen. Daher ist diese Ausführungsform aufwändiger, als eine Ausführungsform, bei der das Überwachungsprogramm im Vergleichs-Betriebsmodus VM ausgeführt wird.In an alternative embodiment of the controller according to the invention 4 the controller works 4 always in performance mode PM, with monitoring programs having at least two execution units 2 be calculated asynchronously. The output of the execution units results or output signals are compared with each other for error detection. In this embodiment, however, the results must each be buffered and the results are then compared twice, namely once on the first execution unit 2A and on the second execution unit 2 B to detect any hardware errors of the two execution units 2 to take into account. Therefore, this embodiment is more expensive than an embodiment in which the monitor program is executed in the comparative operation mode VM.

Das erfindungsgemäß Verfahren erlaubt auch die Detektion von Operanden-abhängigen Fehlern. Darüber hinaus führt das erfindungsgemäße Verfahren zu einer deutlichen Einsparung des Speicherplatzes im Vergleich zu dem herkömmlichen in 1 dargestellten Sicherheitskonzept.The method according to the invention also allows the detection of operand-dependent errors. In addition, the inventive method leads to a significant saving of storage space compared to the conventional in 1 illustrated security concept.

Bei einer möglichen Ausführungsform der erfindungsgemäßen Steuerung 4 weist diese mindestens drei Ausführungseinheiten 2 auf, wobei mittels einer Mehrheitsentscheidung bei einer Signalabweichung festgestellt werden kann, welche Ausführungseinheit 2 vermutlich fehlerhaft arbeitet. Diese Ausführungseinheit 2 führt anschließend vorzugsweise einen Selbsttest aus, um festzustellen, ob diese Ausführungseinheit 2 tatsächlich ausgefallen ist. Bei einer Ausführungsform wird die Ausführungseinheit 2 deaktiviert, wenn der Selbsttest ergibt, dass die Ausführungseinheit 2 tatsächlich ausgefallen ist. Bei dieser Ausführungsform arbeitet das System somit sogar fehlertolerant.In a possible embodiment of the control according to the invention 4 this has at least three execution units 2 on, which can be determined by means of a majority decision at a signal deviation, which execution unit 2 probably works incorrectly. This execution unit 2 then preferably performs a self-test to determine if this execution unit 2 actually failed. In one embodiment, the execution unit becomes 2 disabled when the self-test shows that the execution unit 2 actually failed. In this embodiment, the system thus works even fault-tolerant.

Zur Absicherung gegen permanente Fehler in beiden Cores bzw. Ausführungseinheiten 2, wie sie beispielsweise durch einen Fertigungsfehler entstehen, erfolgt bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens jeweils ein Selbsttest der Ausführungseinheiten 2.To protect against permanent errors in both cores and execution units 2 , as they arise, for example, by a manufacturing error, is carried out in a possible embodiment of the method according to the invention in each case a self-test of the execution units 2 ,

Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Ausführung von Überwachungsprogrammen in der Ebene E2 im Vergleichs-Betriebsmodus VM, wobei zusätzlich zur weiteren Absicherung eine Sicherheitsebene E3 vorgesehen ist, die weiterhin einen Befehlstest zur Überwachung der Funktionsfähigkeit der Überwachungsprogramme ausführt. Eine derartige Ausführungsform ist bei besonders sicherheitskritischen Anwendungen möglich.at a possible embodiment the method according to the invention the execution takes place of surveillance programs in the plane E2 in the comparison operating mode VM, in addition to further protection a level of security E3 is provided, the continue a command test for monitoring the functionality the monitoring programs performs. Such an embodiment is possible with particularly safety-critical applications.

Claims (14)

Verfahren zur Überwachung der Funktionsfähigkeit einer Steuerung, die auf einem System mit mehreren Ausführungseinheiten (2) läuft, wobei ein Überwachungsprogramm in einem Vergleichs-Betriebsmodus (VM) auf mehreren Ausführungseinheiten (2) des Systems ausgeführt wird und wobei die bei der Ausführung des Überwachungsprogramms von diesen Ausführungseinheiten (2) abgegebenen Signale zur Erkennung eines Fehlers miteinander verglichen werden.Method for monitoring the functionality of a controller that is used on a system with several execution units ( 2 ), in which a monitoring program in a comparison operating mode (VM) is run on several execution units ( 2 ) of the system and wherein the execution of the monitoring program by these execution units ( 2 ) are compared with each other to detect an error. Verfahren nach Anspruch 1 wobei das Überwachungsprogramm durch ein Momenten-Überwachungsprogramm gebildet wird, das ein durch einen Motor erzeugtes Moment überwacht.The method of claim 1 wherein the monitoring program through a moment monitoring program is formed, which monitors a moment generated by a motor. Verfahren nach Anspruch 1, wobei die Steuerung durch eine Motorsteuerung gebildet wird.The method of claim 1, wherein the control by a motor control is formed. Verfahren nach Anspruch 1, wobei das Überwachungsprogramm synchron auf den Ausführungseinheiten (2) ausgeführt wird.The method according to claim 1, wherein the monitoring program synchronously on the execution units ( 2 ) is performed. Verfahren nach Anspruch 1, wobei das Überwachungsprogramm asynchron auf den Ausführungseinheiten (2) ausgeführt wird.Method according to claim 1, wherein the monitoring program is executed asynchronously on the execution units ( 2 ) is performed. Verfahren nach Anspruch 1, wobei das System nach erfolgter Ausführung des Überwachungsprogramms in einem Performanz-Betriebsmodus (PM) umgeschaltet wird, in dem die Ausführungseinheiten (2) unterschiedliche Programme ausführen.Method according to claim 1, wherein after the execution of the monitoring program the system is switched to a performance operating mode (PM) in which the execution units ( 2 ) execute different programs. Verfahren nach Anspruch 6, wobei die in dem Performanz-Betriebsmodus (PM) ausgeführten Programme die Steuerung durchführen.The method of claim 6, wherein in the performance mode of operation (PM) Programs perform the control. Verfahren nach Anspruch 1, wobei das Überwachungsprogramm periodisch ausgeführt wird.The method of claim 1, wherein the monitoring program periodically executed becomes. Verfahren nach Anspruch 1, wobei ein Fehler bei der Ausführung des Überwachungsprogramms erkannt wird, wenn die von den Ausführungseinheiten (2) bei der Ausführung des Überwachungsprogramms abgegebenen Signale voneinander abweichen.The method of claim 1, wherein an error is detected in the execution of the monitoring program when the execution units ( 2 ) in the execution of the monitoring program emitted signals from each other chen. Verfahren nach Anspruch 9, wobei nach Erkennen eines Fehlers bei der Ausführung des Überwachungsprogramms eine durch die Steuerung (4) gesteuerte Einheit (5) abgeschaltet wird.A method according to claim 9, wherein upon detection of an error in the execution of the monitoring program, a control 4 ) controlled unit ( 5 ) is switched off. Steuerung (4) mit mehreren Ausführungseinheiten, wobei ein Überwachungsprogramm in einem Vergleichs-Betriebsmodus (VM) auf mehreren Ausführungseinheiten (2) ausgeführt wird und die bei der Ausführung des Überwachungsprogramms von den Ausführungseinheiten (2) abgegebenen Signale zur Erkennung eines Fehlers miteinander verglichen werden.Control ( 4 ) with a plurality of execution units, wherein a monitoring program in a comparison operating mode (VM) is run on several execution units ( 2 ) and that are executed during execution of the monitoring program by the execution units ( 2 ) are compared with each other to detect an error. Steuerung nach Anspruch 11, wobei das Überwachungsprogramm ein Momenten-Überwachungsprogramm ist, das ein durch einen Motor erzeugtes Moment überwacht.The controller of claim 11, wherein the monitoring program a moment monitoring program is that monitors a moment generated by a motor. Steuerung nach Anspruch 11, wobei die Steuerung (4) eine Motorsteuerung ist.The controller of claim 11, wherein the controller ( 4 ) is a motor control. Steuerung nach Anspruch 11, wobei die Ausführungseinheiten (2) durch eine CPU, einen Co-Prozessor, einen digitalen Signalprozessor DSP, eine Gleitpunktberechnungseinheit FPU oder durch eine arithmetisch logische Einheit ALU gebildet werden.The controller of claim 11, wherein the execution units ( 2 ) are formed by a CPU, a co-processor, a digital signal processor DSP, a floating-point calculation unit FPU or by an arithmetic logic unit ALU.
DE102006048169A 2006-10-10 2006-10-10 Method for monitoring the functionality of a controller Withdrawn DE102006048169A1 (en)

Priority Applications (8)

Application Number Priority Date Filing Date Title
DE102006048169A DE102006048169A1 (en) 2006-10-10 2006-10-10 Method for monitoring the functionality of a controller
PCT/EP2007/059904 WO2008043650A1 (en) 2006-10-10 2007-09-19 Method and device for monitoring a functionality of an engine controller of an internal combustion engine
EP07820348A EP2079917B1 (en) 2006-10-10 2007-09-19 Method and device for monitoring a functionality of an engine controller of an internal combustion engine
RU2009117704/07A RU2453903C2 (en) 2006-10-10 2007-09-19 Method and device to control ice control unit serviceability
JP2009515899A JP2009541636A (en) 2006-10-10 2007-09-19 Method and apparatus for monitoring the function of an engine controller of an internal combustion engine
US12/308,184 US8296043B2 (en) 2006-10-10 2007-09-19 Method and device for monitoring a functional capacity of an engine controller of an internal combustion engine
CN2007800377608A CN101523038B (en) 2006-10-10 2007-09-19 Method and device for monitoring a functionality of an engine controller of an internal combustion engine
KR1020097007279A KR101326316B1 (en) 2006-10-10 2007-09-19 Method and device for monitoring a functionality of an engine controller of an internal combustion engine

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006048169A DE102006048169A1 (en) 2006-10-10 2006-10-10 Method for monitoring the functionality of a controller

Publications (1)

Publication Number Publication Date
DE102006048169A1 true DE102006048169A1 (en) 2008-04-17

Family

ID=38921796

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006048169A Withdrawn DE102006048169A1 (en) 2006-10-10 2006-10-10 Method for monitoring the functionality of a controller

Country Status (8)

Country Link
US (1) US8296043B2 (en)
EP (1) EP2079917B1 (en)
JP (1) JP2009541636A (en)
KR (1) KR101326316B1 (en)
CN (1) CN101523038B (en)
DE (1) DE102006048169A1 (en)
RU (1) RU2453903C2 (en)
WO (1) WO2008043650A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008046512A1 (en) * 2008-09-10 2010-03-25 Continental Automotive Gmbh Operating method for controlling actuator, particularly for electronic motor control for controlling injection valve of internal-combustion engine, involves defining operating data set by application software
WO2013164224A3 (en) * 2012-04-30 2013-12-27 Robert Bosch Gmbh Method and device for monitoring functions of a computer system, preferably of an engine control system of a motor vehicle
DE102014213206A1 (en) 2014-07-08 2016-01-14 Continental Automotive Gmbh Control arrangement for safety-related actuators

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7941698B1 (en) * 2008-04-30 2011-05-10 Hewlett-Packard Development Company, L.P. Selective availability in processor systems
ES2973057T3 (en) * 2009-09-08 2024-06-18 Abbott Diabetes Care Inc Procedures and manufacturing items for hosting a safety-critical application on an uncontrolled data processing device
WO2011072662A1 (en) * 2009-12-18 2011-06-23 Conti Temic Microelectronic Gmbh Monitoring computer in a control device
JP5341957B2 (en) 2011-07-20 2013-11-13 トヨタ自動車株式会社 Control device for internal combustion engine
EP2757239B1 (en) 2011-09-12 2017-04-12 Toyota Jidosha Kabushiki Kaisha Internal combustion engine control apparatus
CN103842637B (en) 2011-10-04 2016-10-12 丰田自动车株式会社 The control device of internal combustion engine
JP5614395B2 (en) * 2011-10-26 2014-10-29 トヨタ自動車株式会社 Control device for internal combustion engine
US20130173137A1 (en) * 2011-12-29 2013-07-04 General Electric Company System, apparatus, and method for protecting vehicle engines
US9058419B2 (en) * 2012-03-14 2015-06-16 GM Global Technology Operations LLC System and method for verifying the integrity of a safety-critical vehicle control system
DE102013202253A1 (en) * 2013-02-12 2014-08-14 Paravan Gmbh Circuit for controlling an acceleration, braking and steering system of a vehicle
US20200361452A1 (en) * 2019-05-13 2020-11-19 Toyota Research Institute, Inc. Vehicles and methods for performing tasks based on confidence in accuracy of module output

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0711435B2 (en) * 1985-07-23 1995-02-08 トヨタ自動車株式会社 Method for determining sensor abnormality of internal combustion engine
RU2015542C1 (en) * 1991-06-24 1994-06-30 Институт проблем управления РАН Device for inspecting and reconfigurating duplicated computational system
JPH08270488A (en) * 1995-02-02 1996-10-15 Nippondenso Co Ltd Engine control device
DE19537075B4 (en) 1995-10-05 2005-10-13 Robert Bosch Gmbh Method and device for measured value detection in an electronic power control of a vehicle
KR100206887B1 (en) * 1995-12-31 1999-07-01 구본준 CPI to prevent program malfunction
DE59813927D1 (en) * 1997-12-06 2007-04-12 Elan Schaltelemente Gmbh & Co Method for monitoring a technical system with increased safety requirements, in particular a handling device, as well as monitoring and control device
US6678640B2 (en) * 1998-06-10 2004-01-13 Matsushita Electric Industrial Co., Ltd. Method and apparatus for parameter estimation, parameter estimation control and learning control
DE19841151A1 (en) * 1998-09-09 2000-03-16 Bosch Gmbh Robert Method and device for operating and monitoring an internal combustion engine
DE19900740A1 (en) 1999-01-12 2000-07-13 Bosch Gmbh Robert Method and device for operating an internal combustion engine
DE19928477A1 (en) * 1999-06-22 2000-12-28 Bosch Gmbh Robert Control method for vehicle drive unit involves detecting signal representing vehicle acceleration, determining actual torque of drive unit depending upon acceleration signal
US6615366B1 (en) * 1999-12-21 2003-09-02 Intel Corporation Microprocessor with dual execution core operable in high reliability mode
US6305347B1 (en) * 2000-03-06 2001-10-23 Ford Global Technologies, Inc. Monitor for lean capable engine
JP4121318B2 (en) * 2002-06-26 2008-07-23 三菱電機株式会社 Engine control device for vehicle
JP4100108B2 (en) * 2002-09-12 2008-06-11 株式会社デンソー Control system
US6705286B1 (en) * 2002-09-20 2004-03-16 Ford Global Technologies, Llc Method and system for minimizing torque intervention of an electronic throttle controlled engine
DE10258426B4 (en) * 2002-12-13 2008-08-21 Siemens Ag Method and device for monitoring a control device of an internal combustion engine
DE10349581A1 (en) * 2003-10-24 2005-05-25 Robert Bosch Gmbh Method and device for switching between at least two operating modes of a processor unit
JP2006042446A (en) * 2004-07-23 2006-02-09 Yamaha Motor Co Ltd Abnormality-monitoring apparatus for motor control system
DE502005006496D1 (en) * 2004-10-25 2009-03-05 Bosch Gmbh Robert METHOD AND DEVICE FOR MODE SWITCHING AND SIGNAL COMPARISON IN A COMPUTER SYSTEM HAVING AT LEAST TWO PROCESSING UNITS
US20090119540A1 (en) * 2004-10-25 2009-05-07 Reinhard Weiberle Device and method for performing switchover operations in a computer system having at least two execution units
DE102005037242A1 (en) * 2004-10-25 2007-02-15 Robert Bosch Gmbh Processing unit`s e.g. CPU, analog or digital signals switching and comparing method for computer system, involves switching between operating modes of units and comparing analog signals of units by changing one signal into digital value
JP2008518298A (en) * 2004-10-25 2008-05-29 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング Method and apparatus for generating a signal in a computer system having a plurality of components
WO2006045780A1 (en) * 2004-10-25 2006-05-04 Robert Bosch Gmbh Method and device for separating the processing of program codes in a computer system comprising at least two execution units
KR20070083759A (en) * 2004-10-25 2007-08-24 로베르트 보쉬 게엠베하 Method and device for mode switching in a computer system comprising at least two execution units
ATE420403T1 (en) * 2004-10-25 2009-01-15 Bosch Gmbh Robert METHOD AND DEVICE FOR MODE SWITCHING AND SIGNAL COMPARISON IN A COMPUTER SYSTEM WITH AT LEAST TWO PROCESSING UNITS
DE102005037222A1 (en) * 2004-10-25 2007-02-15 Robert Bosch Gmbh Mode signal evaluating method for computer system, involves generating mode signal and changes in mode signal in computer system, where changes in mode signal and mode signal are used for evaluation of signal in computer system
DE102005037223A1 (en) * 2004-10-25 2007-02-15 Robert Bosch Gmbh Access mode units switching method for motor vehicle, involves providing set of defined bit combinations for execution units, and triggering switching by combination that is not defined in set
EP1810148A1 (en) * 2004-10-25 2007-07-25 Robert Bosch Gmbh Method and device for mode switching and signal comparison in a computer system comprising at least two processing units
WO2006045781A2 (en) * 2004-10-25 2006-05-04 Robert Bosch Gmbh Vorrichtung und verfahren zur modusums- chaltung bei einem rechnersystem mit wenigstens zwei ausführungseinheiten
CN101048752A (en) * 2004-10-25 2007-10-03 罗伯特·博世有限公司 Method and device for switching over in a computer system having at least two execution units
KR20070083760A (en) * 2004-10-25 2007-08-24 로베르트 보쉬 게엠베하 Method and apparatus for switching in a computer system having at least two execution units
DE102005037213A1 (en) * 2004-10-25 2007-02-15 Robert Bosch Gmbh Operating modes switching method for use in computer system, involves switching between operating modes using switching unit, where switching is triggered by signal generated outside system, and identifier is assigned to signal
US8090983B2 (en) * 2004-10-25 2012-01-03 Robert Bosch Gmbh Method and device for performing switchover operations in a computer system having at least two execution units
JP2006211734A (en) * 2005-01-25 2006-08-10 Denso Corp Torque detecter
JP4294012B2 (en) * 2005-07-28 2009-07-08 三菱電機株式会社 Electronic throttle control device

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008046512A1 (en) * 2008-09-10 2010-03-25 Continental Automotive Gmbh Operating method for controlling actuator, particularly for electronic motor control for controlling injection valve of internal-combustion engine, involves defining operating data set by application software
DE102008046512B4 (en) * 2008-09-10 2017-01-26 Continental Automotive Gmbh Method for an electronic engine control system for controlling actuators of injection valves with fault detection and engine control
WO2013164224A3 (en) * 2012-04-30 2013-12-27 Robert Bosch Gmbh Method and device for monitoring functions of a computer system, preferably of an engine control system of a motor vehicle
DE102014213206A1 (en) 2014-07-08 2016-01-14 Continental Automotive Gmbh Control arrangement for safety-related actuators
DE102014213206B4 (en) 2014-07-08 2022-03-17 Vitesco Technologies GmbH Control arrangement for safety-related actuators

Also Published As

Publication number Publication date
EP2079917B1 (en) 2012-11-21
CN101523038B (en) 2012-11-07
KR20090077773A (en) 2009-07-15
RU2009117704A (en) 2010-11-20
CN101523038A (en) 2009-09-02
KR101326316B1 (en) 2013-11-11
WO2008043650A1 (en) 2008-04-17
EP2079917A1 (en) 2009-07-22
US8296043B2 (en) 2012-10-23
US20100004841A1 (en) 2010-01-07
JP2009541636A (en) 2009-11-26
RU2453903C2 (en) 2012-06-20

Similar Documents

Publication Publication Date Title
EP2079917B1 (en) Method and device for monitoring a functionality of an engine controller of an internal combustion engine
EP1917592B1 (en) Computer system with at least two execution units and a comparison unit and method for controlling the same
WO2007017396A2 (en) Method and device for monitoring operations of computer system
DE102014222860B4 (en) Electronic vehicle control unit
EP1639454A2 (en) Method for switching between at least two operating modes of a processor unit and corresponding processor unit
DE102015003194A1 (en) Method and device for handling safety-critical errors
DE10332700A1 (en) Method for switching between at least two operating modes of a processor unit and corresponding processor unit
EP2907072A1 (en) Method for controlling separated running of linked program blocks and control device
EP1680737B1 (en) Method and device for operand processing in a processor unit
DE102008024193A1 (en) Data or signals processing method for brake booster in motor vehicle, involves applying set of functional units to data or signals, programming and/or configuring of one of functional units and programming and/or configuring of matrix
DE102007056218A1 (en) Method for the treatment of transient errors in real-time systems, in particular in control units of motor vehicles
EP2084606A1 (en) Method for changing over a system having a plurality of execution units
DE102013221098B4 (en) VEHICLE CONTROL UNIT
DE102011053580A1 (en) METHOD FOR OPERATING AN ELECTRIC AUXILIARY POWER STEERING
DE102005037228A1 (en) Method and device for controlling a computer system
EP1817662B1 (en) Method and device for switching between operating modes of a multiprocessor system by means of at least an external signal
EP1805617A1 (en) Method for executing a computer program on a computer system
DE102004051991A1 (en) Method, operating system and computing device for executing a computer program
WO2007017372A1 (en) Method and device for control of a computer system with at least two execution units
EP1615087A2 (en) Control and regulation unit
DE102017208484A1 (en) Method and device for detecting hardware errors in microprocessors
WO2008043652A2 (en) Electronic system
DE102014112946A1 (en) Electronic control unit and electronic power steering system using them
EP0760132B1 (en) Circuit for driving computer modules, in particular microprocessors
EP3893113B1 (en) Monitoring of a component of a control system for a moving means

Legal Events

Date Code Title Description
R012 Request for examination validly filed

Effective date: 20130625

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee